５年間にわたり諜報活動をしていたスパイウェア「TajMahal（タージマハル）」が見つかる。　「Kaspersky Security Analyst Summit」

冬に流行した
インフルエンザ潜伏期間は、一般的に1日から3日で発症すると言われています。

一方、潜伏期間が長い病気があります。

エイズは、5年～10年の潜伏期間
成人Ｔ細胞白血病になると潜伏期間が40年以上とかなり長い。

ウィルスは、長期に渡って潜伏しているものがありますが、スパイウェアも長期に渡って密かに行動しているものがあります。

今回のIT小僧の時事放談は、
５年間にわたり諜報活動をしていたスパイウェア「TajMahal（タージマハル）」が見つかる。
と題して、中央アジアのある国の大使館のネットワークから見つかったスパイウェアについて
小難しい話をわかりやすく解説しながらブログにまとめました。

最後まで読んでいただけたら幸いです。

正体不明の多目的スパイウェア

みつけた企業

セキュリティ企業のカスペルスキー2019年4月10日（米国時間）

カスペルスキーという企業は（ロシア語: Лаборато́рия Каспе́рского、アルファベット：Kaspersky Lab）
ロシア連邦の首都モスクワに本社を置くコンピュータセキュリティ会社です。

みつけた場所

中央アジアのある国の大使館のネットワーク
カスペルスキーという企業がロシアなので、おそらく旧ソビエト領のどこかだと推定
国名は未発表ですが、ウクライナとかあウズベキスタンとか・・・あたりかと想像

みつけたもの

異なるコンポーネントを80も搭載し独自機能をもつ高性能なスパイウェアで
国家ぐるみの諜報活動の一環である可能性が高い。

名前を「TajMahal（タージマハル）」と命名
※なぜこの名前になったかは、不明

活動時期

5年は水面下で“活動”していたらしい。
５年以上、みつけることができなかった。

どんな役割をしていたか？

TajMahalは80のモジュール（機能）を備える。

キーロガー
画面キャプチャー

などのスパイウェアの定番の機能だけではなく
これまで見たこともないような、よくわからない機能を備えたモジュールもある
プリンターの印刷待機状態にある文書データを横取り
などがあると発表していますが、その他は、未発表

特定のファイルを追跡して、感染した端末にUSBドライヴが挿入されると、そのファイルを自動的に盗んだりもできる。

という特殊な機能もあるそうです。

でこれで気がついたのですが。

トランプ大統領の別荘不法侵入事件

2019年4月6日　CNNより

ワシントン（ＣＮＮ）米フロリダ州にあるトランプ大統領の別荘「マール・ア・ラーゴ」に不法侵入した容疑で女が逮捕された事件で、ポンペオ国務長官は５日、特定の事件への言及は避けるとしつつも、中国が米国に与える脅威の一例だと述べ警戒感を示した。

米ＣＢＳテレビのインタビューで述べた。司会者から今回の事件はスパイ行為かと問われ、捜査中の事案で詳細は語れないとしながらも、「中国の脅威を国民に伝える事件だと思う。米国内での工作の対象は政府当局者のみならず幅広い範囲に及んでいる」と述べた。

逮捕された女は複数の中国旅券とマルウエア（悪意を持ったプログラム）の入ったＵＳＢメモリーを所持していた。

ＣＮＮは３日、連邦捜査局（ＦＢＩ）が中国によるスパイ工作の可能性を視野に捜査に乗り出したと伝えた。
https://www.cnn.co.jp/usa/35135361.html

マルウエア（悪意を持ったプログラム）の入ったＵＳＢメモリー
むむ！　これって　TajMahal？？？

特定のファイルを追跡して、感染した端末にUSBドライヴが挿入されると、そのファイルを自動的に盗んだりもできる。

詳しいことは、未発表！
そりゃ　国家機密だから表には出てこないわ

いったい誰が？

ただのハッカーでは、なさそうです。

「これほどまで大きな投資になる開発案件が、たったひとつの標的のために実行されるとは考えにくいと言えます。
まだ特定されていない被害者がいるか、このマルウェアの別のヴァージョンが出回っているか、あるいは両方でしょうね」
WIREDより引用
https://wired.jp/2019/04/11/tajmahal-swiss-army-spyware-apt/

米国の国家安全保障局（NSA）
所属「Tailored Access Operations」（プロのハッキング集団）
に所属していたジェイク・ウィリアムズ氏によると

今回の発見について、非常に用心深く慎重な国家レヴェルの情報収集活動の存在を示唆するのではないかと指摘する。
WIREDより引用
https://wired.jp/2019/04/11/tajmahal-swiss-army-spyware-apt/

カスペルスキーは、このスパイウェアの内容から既知のハッキング集団ではないらしい
と発表

また、カスペルスキーの発表自体が曖昧なのも気になります。

カスペルスキーの発表
バックドア（最初に仕掛けための穴を開ける方法）

「TajMahal」に含まれる「Tokyo」と名づけられたバックドア（裏口）のプログラムを使用
「Tokyo」は、「PowerShell」を利用（Windows経由ということがここでわかります）
「Tokyo」で穴を開けて、他のスパイウェアを送り込む。
「TajMahal」に含まれる「Yokohama」と名付けられたモジュールが、入っている。
「Yokohama」には、多くの国家ぐるみのスパイ活動で求められる優れた能力のほかにも、いくつかの独特な機能を持っている。

これ以上は、発表されていない。
もっとも手口を発表するわけもないので当然です。

カスペルスキーの発表

今回のカスペルスキーの発表は
シンガポールで開かれている「Kaspersky Security Analyst Summit」で発表されたものです。
しかし、内容が、あいまいで、被害にあった国名など一切公表されていない。

もしかしたら、ヤバイところに手を突っ込んだのか？
とするとこのブログも狙われるのでしょうか！

もし、そうだったら
３日以上、新しい記事がアップされなかったら、IT小僧の身に何かあったと思ってください。
(；・∀・)

では、また

[amazonjs asin="B075WZ5RLJ" locale="JP" title="カスペルスキーセキュリティ (最新版) | 1年 1台版 | パッケージ版 | Windows/Mac/Android対応"]